Liaison de stratégie SSL
Vous pouvez lier les politiques SSL de manière globale ou uniquement à un serveur virtuel de type SSL. Les politiques liées globalement sont évaluées une fois que toutes les politiques liées aux services, aux serveurs virtuels ou à d’autres points de liaison NetScaler ont été évaluées. Si les données entrantes correspondent à l’une des règles configurées dans la politique SSL, la politique est déclenchée et l’action qui y est associée est exécutée.
Lorsque vous liez une politique SSL à un serveur virtuel, vous devez sélectionner l’un des points de liaison suivants :
-
DEMANDE (point de liaison par défaut). L’évaluation des politiques est effectuée dans la couche HTTP une fois l’établissement de connexion SSL terminé.)
-
INTERCEPT_REQ (Cette option s’applique à une configuration de Citrix Secure Web Gateway. Pour plus d’informations, voir Infrastructure de stratégies SSL pour l’interceptionSSL).
-
CLIENTHELLO_REQ
De même, lorsque vous dissociez une politique d’un serveur virtuel, vous devez spécifier le point de liaison.
Si vous spécifiez CLIENTHELLO_REQ comme point de liaison, la politique est évaluée lorsqu’un message d’bonjour client est reçu. Les actions autorisées sont RESET, FORWARD et caCertGrpName
. L’action de réinitialisation met fin à la connexion. L’action de transfert transmet la demande à un serveur virtuel d’équilibrage de charge pour traitement. L’action caCertGrpName
sélectionne les autorités de certification basées sur SNI pour l’authentification du client. Pour plus d’informations sur les actions SSL, consultez Actions intégrées SSL et actions définies parl’utilisateur.
Remarque : L’action cacertgrpName n’est pas prise en charge avec le protocole TLS 1.3.
Liez une politique SSL à l’échelle mondiale à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez la commande suivante pour lier une politique SSL globale et vérifier la configuration :
bind ssl global - policyName <string> [- priority <positive_integer>]
show ssl global
<!--NeedCopy-->
Exemple :
bind ssl global -policyName Policy-SSL-2 -priority 90
Done
sh ssl global
1) Name: Policy-SSL-2 Priority: 90
2) Name: Policy-SSL-1 Priority: 100
Done
<!--NeedCopy-->
Liez une politique SSL de manière globale à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Politiques.
- Dans le volet d’informations, cliquez sur Liaisons globales.
- Dans laboîte de dialogue Lier/dissocier les politiques SSL à l’ensemble, cliquez surInsérer une politique.
- Dans la liste Nom de la politique, sélectionnez une politique.
- Vous pouvez également faire glisser l’entrée vers une nouvelle position dans la banque de règles pour mettre à jour automatiquement le niveau de priorité.
- Cliquez sur OK. Un message apparaît dans la barre d’état, indiquant que la stratégie a été correctement liée.
Liez ou dissociez une politique SSL à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez la commande suivante pour lier une politique SSL à un serveur virtuel et vérifier la configuration :
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
unbind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
<!--NeedCopy-->
Exemple :
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
<!--NeedCopy-->
unbind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
<!--NeedCopy-->
show ssl vserver vs-server
Advanced SSL configuration for VServer vs-server:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 1000
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 80
Client Auth: DISABLED
SSL Redirect: ENABLED
SSL-REDIRECT Port Rewrite: ENABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Policy Name: ssl-policy-1 Priority: 10
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Liez une politique SSL à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis ouvrez un serveur virtuel SSL.
- Dans Paramètres avancés, sélectionnez Stratégie SSL. Cliquez dans la section Stratégie SSL pour lier une politique au serveur virtuel.
- Sur la page Policy Binding, sélectionnez une politique existante ou ajoutez-en une nouvelle.
- Spécifiez la priorité et le type (point de liaison) de la politique.
- Sélectionnez Bind.
- Sélectionnez Terminé.
Dans cet article
- Liez une politique SSL à l’échelle mondiale à l’aide de l’interface de ligne de commande
- Liez une politique SSL de manière globale à l’aide de l’interface graphique
- Liez ou dissociez une politique SSL à un serveur virtuel à l’aide de l’interface de ligne de commande
- Liez une politique SSL à un serveur virtuel à l’aide de l’interface graphique